NOVEDAD
6 de julio de 2022
Apple amplía su compromiso líder en el sector para proteger a los usuarios del spyware mercenario altamente personalizado
Apple muestra un adelanto de una innovadora prestación de seguridad que ofrece protección adicional especializada para usuarios que pueden correr el riesgo de sufrir ciberataques altamente personalizados por parte de empresas privadas que desarrollan spyware mercenario con respaldo estatal. Apple también ofrece más información sobre su beca de 10 millones de dólares para reforzar la investigación que arrojen luz sobre estas amenazas
Apple ha desvelado hoy dos iniciativas para proteger a los usuarios que sufran ataques personales por parte de ciberamenazas sofisticadas, como quienes trabajan en empresas privadas que desarrollan spyware mercenario con respaldo estatal. El modo de aislamiento, la primera funcionalidad de su categoría que se presenta en otoño integrada en iOS 16, iPadOS 16 y macOS Ventura, es una protección extrema opcional para un número reducido de usuarios que se enfrentan a graves amenazas focalizadas que ponen en peligro su seguridad en la red. Apple ha informado también sobre la beca de ciberseguridad de 10 millones de dólares que anunció el pasado mes de noviembre con la que apoyará a organizaciones de la sociedad civil que investigan y luchan contra las amenazas del spyware mercenario.
«Apple fabrica los dispositivos móviles más seguros del mercado. El modo de aislamiento es una innovadora prestación que refleja nuestro firme compromiso con la protección de los usuarios frente a los ataques más raros y sofisticados», ha dicho Ivan Krstić, responsable de Ingeniería y Arquitectura de Seguridad de Apple. «Aunque la gran mayoría de los usuarios nunca serán víctimas de ciberataques altamente personalizados, trabajaremos de forma incansable para proteger a ese pequeño número que sí podría sufrirlos. Por tanto, seguiremos diseñando medidas de protección para ellos, además de apoyar a los investigadores y organizaciones de todo el mundo que desempeñan una labor fundamental a la hora de exponer a estas empresas mercenarias responsables de dichos ataques digitales».
El modo de aislamiento ofrece un nivel de seguridad extremo opcional para los pocos usuarios que, por su condición o trabajo, puedan ser víctimas de ataques con las amenazas digitales más sofisticadas, como las de NSO Group y otras entidades privadas que desarrollan spyware mercenario con respaldo estatal. Activar el modo de aislamiento en iOS 16, iPadOS 16 y macOS Ventura refuerza aún más las defensas del dispositivo y limita de forma estricta algunas funcionalidades para reducir en gran medida la superficie que podría atacar el spyware mercenario altamente personalizado.
En el momento del lanzamiento, el modo de aislamiento incluye estas protecciones:
- Mensajes: se bloquean la mayoría de tipos de archivos adjuntos que no sean imágenes. También se deshabilitan varias prestaciones, como la previsualización de enlaces.
- Navegación web: ciertas tecnologías web complejas, como la compilación just-in-time (JIT) de JavaScript, están deshabilitadas a menos que el usuario excluya un sitio de confianza del modo de aislamiento.
- Servicios de Apple: las invitaciones entrantes y las solicitudes de servicio, incluidas llamadas de FaceTime, se bloquean si el usuario no ha enviado una solicitud o llamado previamente a quien inicia el proceso.
- Las conexiones por cable con un ordenador o accesorio se bloquean cuando el iPhone está bloqueado.
- Cuando el modo de aislamiento está activado, no se pueden instalar perfiles de configuración y el dispositivo tampoco puede acceder a la gestión de dispositivos móviles (MDM).
Apple seguirá reforzando el modo de aislamiento y añadirá nuevas protecciones a lo largo del tiempo. Para fomentar los comentarios y la colaboración de la comunidad que investiga sobre seguridad, Apple también ha establecido una nueva categoría en el programa Apple Security Bounty para premiar a los investigadores que encuentren desviaciones en el modo de aislamiento y ayuden a mejorar sus medidas de protección. Las recompensas de los hallazgos válidos se duplican en el modo de aislamiento (hasta un máximo de 2 millones de dólares). Se trata de la recompensa de este tipo más elevada del sector.
Apple también va a crear una beca de 10 millones de euros, más allá de cualquier indemnización por daños y perjuicios concedida tras la demanda contra NSO Group, para apoyar a organizaciones que investigan, desvelan y evitan ciberataques altamente personalizados, incluidos los que perpetran empresas privadas que desarrollan spyware mercenario con respaldo estatal. La beca se concederá a Dignity and Justice Fund, establecida y asesorada por la Ford Foundation, una fundación privada que trabaja por la equidad en todo el mundo, y se encarga de reunir recursos filantrópicos que promuevan la justicia social de forma global. El Dignity and Justice Fund es un proyecto con ventajas fiscales de New Venture Fund, una (c)(3)entidad sin ánimo de lucro.
«El negocio mundial del spyware tiene en su punto de mira a defensores de los derechos humanos, periodistas y disidentes: facilita las acciones violentas, refuerza el autoritarismo y apoya la represión política», ha declarado Lori McGlinchey, directora del programa de Tecnología y Sociedad de la Ford Foundation. «La Ford Foundation se enorgullece de apoyar esta extraordinaria iniciativa para impulsar la investigación de la sociedad civil y luchar a modo de resistencia frente al spyware mercenario. Debemos crecer sobre la base del compromiso de Apple, y animamos a las empresas y donantes a unirse al Dignity and Justice Fund y a aportar más recursos a esta lucha colectiva».
El Dignity and Justice Fund espera lanzar sus primeras becas a finales de 2022 o principios de 2023. En un primer momento, financiará estrategias que ayuden a sacar a la luz el spyware mercenario y protejan a los potenciales objetivos. Entre estas actividades estarán las siguientes:
- Generar capacidad organizativa y aumentar la coordinación a pie de campo de grupos de lucha e investigación en ciberseguridad de la sociedad civil nuevos y existentes.
- Apoyar el desarrollo de métodos forenses estandarizados para detectar y confirmar la infiltración de malware que cumple con estándares probatorios.
- Facilitar que la sociedad civil colabore de forma más efectiva con fabricantes de dispositivos, desarrolladores de software, empresas de seguridad comercial y otras organizaciones relevantes para identificar vulnerabilidades y ocuparse de ellas.
- Aumentar la concienciación sobre el sector del spyware mercenario global entre los inversores, periodistas y responsables de políticas.
- Dotar de capacidad a los defensores de derechos humanos para identificar y responder ante ataques de spyware, incluidas auditorías de seguridad para organizaciones que se enfrentan a amenazas importantes en sus redes.
La estrategia para la concesión de becas de la Dignity and Justice Fund con el objetivo de investigar, supervisar y exigir responsabilidades al sector de las armas cibernéticas mejoradas contará con la supervisión de un comité asesor técnico global independiente. Entre los miembros iniciales están:
- Daniel Bedoya Arroyo, analista de la plataforma de servicios de seguridad digital en Access Now
- Ron Deibert, profesor de Ciencias Políticas y director de Citizen Lab en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto
- Paola Mosso, codirectora adjunta de The Engine Room
- Rasha Abdul Rahim, directora of Amnesty Tech en Amnistía Internacional
- Ivan Krstić, responsable de Ingeniería y Arquitectura de Seguridad de Apple
«Ahora, gracias a la investigación de Citizen Lab y otras organizaciones, contamos con pruebas irrefutables de que el sector de la vigilancia mercenaria está facilitando la difusión de prácticas autoritarias y abusos masivos de los derechos humanos en todo el mundo», ha dicho Ron Deibert, director de Citizen Lab, un grupo de investigación de la Universidad de Toronto. «Aplaudo la iniciativa de Apple de crear esta beca tan importante, que mandará un mensaje de peso y ayudará tanto a investigadores independientes como a entidades a exigir responsabilidades a los distribuidores de spyware mercenario por los daños que están causando a personas inocentes».
Compartir artículo
Media
-
Texto de este artículo
-
Imágenes en este artículo